Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data ... · Seminar: is uw bedrijf klaar voor...
Transcript of Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data ... · Seminar: is uw bedrijf klaar voor...
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy &
Persoonsgegevens (GDPR)?
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Over de organisatie
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Programma
15.00 uur: Inleiding, door Marc Santegoeds en Maarten de Rooij
15.15 uur: Juridische aspecten van GDPR, door Monica Leenders
15.50 uur: Technische aspecten van GDPR, door Geert Rademakers
16.25 uur: De mindset van medewerkers, door Dennie Spreeuwenberg
17.00 uur: Afsluitende borrel
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
• IT Consultant rol
• Analyse & advies
• Proces begeleiding
• Data privacy specialisme
Even voorstellen
Maarten de Rooij
IT Business Professional, ACA IT-Solutions
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Tijdslijn
• Wet bescherming persoonsgegevens 1 september 2001
• Wet Meldplicht Datalekken 1 januari 2016
• Handhaving GDPR/AVG (vervanging Wbp) 25 mei 2018
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
De risico’s
• Boetes (tot € 20 miljoen / tot 4% van de omzet)
• Negatieve aandacht in de media
• Kritiek en zelfs aangiftes door gedupeerden
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Schaap met 4 poten?
Juridisch (Monica Leenders)
Gedrag/mens (Dennie Spreeuwenberg)
IT/technisch(Geert Rademakers)
Compliance/risk
Functionaris Gegevensbescherming
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Compliance/Risk
Accountability & auditability
Artikel 24 AVG:
“…. treft de verwerkingsverantwoordelijke passende en technische organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd.”
• Register
• Beleid
• Maatregelen
• Procedures
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Juridisch (Monica Leenders)
Gedrag/mens (Dennie Spreeuwenberg)
IT/technisch(Geert Rademakers)
Compliance/risk
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
• Teamleider privacy
• Internationale contractenpraktijk
• Intellectual property
Even voorstellen
Monica Leenders
Advocaat, Advocatenkantoor Boels Zanders
Uw vraag stellen aan Monica:
+31 (0)88 30 40 153
+31 (0)6 31 64 09 50
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
• Reden nieuwe wetgeving
• Kern van de AVG
• Betekenis voor organisaties
• Hoe kunnen organisaties zich voorbereiden
Inleiding
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Waarom nieuwe wetgeving?
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Gegevens verwerken
+
Verwerk ik persoonsgegevens
Persoonsgegevens
Verwerker ('processor')Verwerkingsverantwoordelijke
('controller')
Verwerken
Ik verwerk persoonsgegevens dus ik moet voldoen aan de
Privacywetgeving (*)
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
• Welbepaald
• Uitdrukkelijk omschreven
• Verwerking noodzakelijk voor het doel
• Verenigbaar gebruik
• Gerechtvaardigd > verwerkingsgrondslag
Verwerkingsdoeleinden
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
• Toestemming
• Overeenkomst
• Wettelijke plicht
Verwerkingsgrondslagen
• Vitaal belang betrokkene
• Overheidstaak
• Eigen dringend belang
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
• Bijzondere persoonsgegevens, over iemands godsdienst, ras, politieke gezindheid, gezondheid, lidmaatschap van een vereniging etc, biometrische/genetische gegevens.
• Gegevens over financiële situatie
• Gegevens die kunnen leiden tot stigmatisering/uitsluiting
• Gebruikersnamen, wachtwoorden en inloggegevens
• Gegevens die kunnen worden misbruikt voor identiteitsfraude
Gevoelige persoonsgegevens
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
• Privacy by design
Betekenis AVG voor organisaties
• Privacy by default
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Eén wet in de hele EU
Data Protection Impact
Assessment (DPIA)
Functionaris gegevensbescherming
Verantwoordelijkheid en accountability
Documentatieplicht
Betekenis AVG voor organisaties
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
• Verwerkingsregister?
• Datalekken
Beleid
Documentatieplicht
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
• Verplicht in 3 situaties • Taken:
o Informeren en adviseren
o Toezicht op naleving
Bewustmaking
Opleiding
o DPIA
o Medewerking met AP
Observatie
Bijzondere persoonsgegevens
Overheden en publieke
organisaties
Functionaris voor de gegevensbescherming
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Bij hoog privacy risico; met name bij:
Grote schaal
systematisch mensen
volgen in publiek
toegankelijk gebied
Grote schaal
bijzondere
persoonsgegevens
Gegevensbeschermingseffectbeoordeling
Systematisch en uitvoerig
persoonlijke aspecten
evalueren en daar besluiten
op baseren
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Crossing borders
• Europese economische ruimte (EER)
• Derde landen
o Adequaat beschermingsniveau
o Passende waarborgen
USA privacy shield (?)
o BCR’s
o Toestemming betrokkene
o Noodzakelijk uitvoering overeenkomst
o Algemeen belang
o Rechtsvordering
Internationaal zakendoen
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Transparante informatie
uitoefening van rechten
Recht op verwijdering
(‘Right to be forgotten’)
Informatie bij
verzameling
Recht op beperking
Van de verwerking
Recht van
inzage
Kennisgevingsplicht
rectificatie,
verwijdering,
beperking
Data portabiliteit
Recht op
rectificatie
Rechten van betrokkenen
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Verwerkersovereenkomsten
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Datalek
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Bewustwording
Rechten van betrokkenen
Breng uw gegevensverwerkingen in kaart
DPIA
Aantoonbare privacy by design & default
FG
Meldplicht datalekken
Verwerkersovereenkomsten
Leidende autoriteit
Toestemming
Checklist voorbereiding
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Vragen?
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Juridisch (Monica Leenders)
Gedrag/mens (Dennie Spreeuwenberg)
IT/technisch(Geert Rademakers)
Compliance/risk
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
• Aansturing consultants en systeembeheerders
• Gesprekspartner IT-beleid
Even voorstellen
Geert Rademakers
Head of Operations and Services, ACA IT-Solutions
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Welke voorzieningen helpen?
Technische maatregelen omtrent GDPR
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
• Datalekken
• Cybercriminaliteit – opzettelijk
• Abusievelijk - per ongeluk
• Voorzorgsmaatregelen
• Cloudvraagstukken
Onderwerpen
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Vroeger ging het zo…
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Tegenwoordig gaat het zo…
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
• Amerikaanse verkiezingen en Russische invloed
• Edward Snowden demonstreert wat personeel kan doen
• Maersk & APM Terminals
• Heel recent: de Panama Papers
• Heel dichtbij:
• Sint Anna Ziekenhuis
• Gemeente Helmond
Een paar cases…
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
• Cybercriminaliteit van phishing tot exposure/verstoring/vernieling
• Moedwillige inbraak in systemen, direct/indirect
• Big business: Complete datacenters worden gebouwd
• Internationaal karakter en grote afstanden
Cybercriminaliteit?
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
• Het verliezen van een USB stick, Portable Harddisk
• Een mail naar de verkeerde geadresseerde
• Een verkeerde attachment
• Reply to All i.p.v. Reply to...
• Een slecht beveiligde website
• Verkeerd afvoeren oude apparatuur
• …
Datalekken zonder opzet…
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
• Continuïteit
• Imagoschade
• Dataverlies
• Financiële gevolgen
• Irritatie en productiviteitsverlies
Digitale data is zo gemakkelijk deel- en vernietigbaar….
Wat zijn de grote gevaren?
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Voorzorgsmaatregelen
• Authorisatie / Authenticatie / Audit
• Encryptie
• Intrusion Prevention & Detection
• Awareness
Hoe kunnen risico’s worden gemeden?
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
• Autoriseren: De Wat vraag
Wie ?
Wat ?
Wanneer ?
• Authenticatie: De Wie vraag
• Auditing: De Wanneer vraag
Acties
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
• Bestandsencryptie
• Mail encryptie
• Tunnel encryptie
Data-At-Rest Data-In-Motion
Bovendien: Minimale verwerking en bewaartermijn!
Encryptie
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
• Perimiter bewaking: Grenzen afschermen
• Firewall diensten
• Realtime controles & Alarmering
• Log controles & Rapportages
• Netwerk, WIFI, 3G/4G en client security 24x7
Intrusion Detection & Prevention
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
• Techniek alleen is NIET de oplossing
Awareness
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Vragen?
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Juridisch (Monica Leenders)
Gedrag/mens (Dennie Spreeuwenberg)
IT/technisch(Geert Rademakers)
Compliance/risk
De mindset van medewerkersDe mens als sterkste schakel
23-11-2017 NextTech Security 2
Even voorstellen…
NextTech Security
Informatiebeveiliging met focus op de mens
Leverancier van bewustwordingsdiensten voor ACA IT-Solutions
Dennie Spreeuwenberg
Security Awareness Specialist
>15 jaar ervaring in Informatiebeveiliging & IT Security
Interactief
23-11-2017 NextTech Security 3
Vraag….
10 seconden….
Antwoorden…..
Discussie.....
Groen lampje? Dan heeft u gestemd!
23-11-2017 NextTech Security 4
23-11-2017 NextTech Security 5
Deelt de man zijn wachtwoord?
1. Ja
2. Nee
3. Bijna
23-11-2017 NextTech Security 6
0
U kunt nu stemmen
23-11-2017 NextTech Security 7
Multidisciplinaire aanpak
Beleid Techniek Mens
23-11-2017 NextTech Security 8
23-11-2017 NextTech Security 9
Heeft u de laatste 12 maanden te maken gehad met cybercrime?
1. Ja, maar zonder noemenswaardige gevolgen
2. Ja, dit heeft voor de nodige problemen gezorgd
3. Nee
23-11-2017 NextTech Security 10
0
U kunt nu stemmen
23-11-2017 NextTech Security 11
Heeft u de laatste 12 maanden een Phishingmail in uw inbox gehad ?
1. Ja, maar zonder noemenswaardige gevolgen
2. Ja, dit heeft voor de nodige problemen gezorgd
3. Nee
23-11-2017 NextTech Security 12
0
U kunt nu stemmen
E-mail is nog altijd populair bij aanvallers
E-mail is ook in 2017 het meest gebruikte medium om ransomware te verspreiden.
Bron: Cybersecuritybeeld Nederland 2017
23-11-2017 NextTech Security 13
23-11-2017 NextTech Security 14
Zijn uw medewerkers bewust bezig met Privacy ?
1. Ja
2. Nee
3. Weet ik niet
23-11-2017 NextTech Security 15
0
U kunt nu stemmen
Medewerkers regelen zelf online diensten
Hierbij wordt gebruikgemaakt van ICT-oplossingen die niet van de formele weg zijn ingekocht.
Bron: Cybersecuritybeeld Nederland 2017
23-11-2017 NextTech Security 16
Burgergegevens?HR dossiers? Cliëntgegevens?
23-11-2017 17
Klantgegevens?
Van HR tot directie
Van financiën tot productieVan verkoop tot inkoopvan . . . . . . .
Rol van de medewerker
NextTech Security
Mens is de sterkte schakel:
Kan klantgegevens ook veilig opslaan
Kan USB-drives ook niet verliezen
Kan sterke wachtwoorden gebruiken
Kan zijn werkstation handmatig vergrendelen
Kan ook niet op links in phishingmails klikken
Kan ook zakelijke data niet op persoonlijke media opslaan
Kan zijn verantwoordelijkheden nemen
……
23-11-2017 NextTech Security 18
Security Awareness is het antwoord……
Security Awareness is de mate waarin medewerkers bekwaam zijn om informatieveiligheid incidenten te voorkomen en af te wenden. Daarbij is het verantwoordelijkheidsgevoel van medewerkers bij informatiebeveiliging essentieel.
23-11-2017 NextTech Security 19
Aanpak
Zorg voor betrokkenheid van management en bestuur
Bepaal programma aan de hand van kennis, cultuur en omvang
Neem de tijd
Benut de kracht van herhaling
Creëer gedragsverandering
23-11-2017 NextTech Security 20
Gedragsverandering
Wat
Waarom
Hoe
23-11-2017 NextTech Security 21
Wat moet er anders?
Waarom moet dit anders?
Hoe doe ik dit anders?
Ideeën
Vertaal het belang naar medewerkersCommunicatie vanuit bestuur richting organisatie
Creëer draagvlak
Maak een interventie verplicht
23-11-2017 NextTech Security 22
Hoe?Interne mail of briefKeynote tijdens bijeenkomstKort filmpjeEtc.
Ideeën
Betrek medewerkersCreëer duidelijkheid over de rol van de medewerker
Geef de medewerker handvatten
Betrek privétoepasbaarheid
Maak het onderwerp bespreekbaar
23-11-2017 NextTech Security 23
Hoe?TrainingE-learningPresentatiesPostersEtc.
Ideeën
Creëer ambassadeursZorg voor vertegenwoordigers
23-11-2017 NextTech Security 24
Hoe?Geef afdelingshoofden duidelijke doelen (KPI’s)
Betrek medewerkers bij mogelijke acties
23-11-2017 25
Interventies
Workshops E-learning (video leren) Serious Gaming Social Engineering Hybride
Gastlezing Posters Newsflash Phishing quiz Internal notes
NextTech Security
23-11-2017 26
Succesfactoren
Betrokkenheid van directie/bestuurVoorbeeldrolIntroductie door bestuur
In de taal van de medewerkerGeen technische verhalen
AccountableMaak het effect meetbaarZorg voor bewijs
Verplicht onderdeelMaakt het verschil
NextTech Security
Welke wachtwoord is het lastigst te kraken?
1. Dennie1980
2. Woofer123
3. Okt2016
4. Pa@@4f#!&^bvv
5. Eenlangwachtwoordissterker
23-11-2017 NextTech Security 28
0
U kunt nu stemmen
23-11-2017 NextTech Security 27
Seminar: is uw bedrijf klaar voor de nieuwe wetgeving Data Privacy & Persoonsgegevens (GDPR)?
Juridisch
Gedrag/mens
IT
Compliance/risk
Hoe bereidt u zich voor op 25 mei 2018?
Ieder bedrijf dient voor 25 mei aan de nieuwe wet voldoen. Verwacht wordt dat u de nodige
maatregelen (technisch, juridisch en beleidsmatig) heeft getroffen om de veiligheid van
data en de privacy voor de betreffende personen te borgen. Voorkom boetes en negatieve
media-aandacht!
Stap 1: Data Privacy GAP-analyse (huidige stand van zaken – vereiste/gewenste situatie)
Stap 2: uitvoering werkzaamheden met als doel compliancy op 25 mei 2018.
ACA IT-Solutions en onze partners beschikken gezamenlijk over alle kennis en ervaring
om u te begeleiden bij de uitrol van GDPR in uw organisatie.
Neem contact op voor een vrijblijvend adviesgesprek:
Maarten de Rooij (IT Business Professional, ACA IT-Solutions)
040-8800100
Conclusies